À l’occasion d’une conférence de presse, un chercheur en sécurité de Kaspersky a partagé avec nous ses prédictions pour l’année à venir en matière de menaces informatiques les plus sophistiquées. Et cela fait froid dans le dos.
Attaques sur des hôpitaux et des institutions, multiplication des ransomwares, piratages d’infrastructures critiques et d’entreprises comme Uber ou Rockstar Games… L’année qui s’achève a été le théâtre d’une explosion des menaces informatiques graves. Mauvaise nouvelle : vous n’avez encore rien vu.
A l’occasion de ses 25 ans, Kaspersky a organisé une conférence dans ses locaux parisiens afin de présenter ses nouveaux produits à la presse. Mais le géant russe de la cybersécurité a aussi profité de l’occasion pour s’essayer au difficile exercice de prospective auquel il s’adonne chaque année : à quelles nouvelles menaces faut-il s’attendre pour 2023 ?
Fruit du travail des chercheurs en sécurité de son laboratoire GReAT (Global Research and Analysis Team), cette étude, présentée par Ivan Kwiatkowski, chercheur « sénior » au GreAT et spécialiste des menaces les plus sophistiquées, a de quoi faire froid dans le dos. Attaques « destructrices », siphonnage de serveurs mails, vol de données par des états et piratage par drones… voici un bref résumé des menaces « cyber » qui nous attendent peut-être demain.
Encore plus d’attaques « destructrices »
« On peut s’attendre à voir en 2023 des attaques de gravité sans précédent, plus spécifiquement des attaques perturbatrices et destructrices » lance Ivan Kwiatkowski pour nous mettre dans l’ambiance. En cause ? Le contexte géopolitique particulièrement tendu entre « le bloc de l’Ouest et le bloc de l’Est ». La guerre en Ukraine a en effet aussi des conséquences sur le cyberespace. On se souvient par exemple que peu après le début du conflit, une attaque était parvenue à endommager des milliers de terminaux de communication par satellite pour les rendre inopérants. Plus récemment, le Parlement européen a été victime d’une importante attaque par déni de service après avoir voté une résolution déclarant que la Russie était un « État soutenant le terrorisme ».
Les choses pourraient donc, selon Kaspersky, largement empirer en 2023. Des sabotages de sites d’infrastructures civiles ou de sites industriels – éventuellement déguisés en accident – pourraient survenir, tout comme la destruction de câbles sous-marins, des équipements aussi stratégiques que difficiles à protéger. « Depuis la destruction du gazoduc Nord Stream, nous savons qu’il existe quelque par des capacités à détruire ce genre d’équipements sous-marins » précise Ivan Kwiatkowski.
Les serveurs mail en ligne de mire
Voilà un « maillon faible » que Kaspersky recommande de surveiller de très près cette année : les serveurs mails, et en particulier Microsoft Exchange et Zimbra, qui ont déjà été victimes de plusieurs vulnérabilités critiques cette année. « Ces suites logicielles ont la difficile mission de devoir protéger des données confidentielles – tous les mails d’une organisation – tout en exposant une énorme surface d’attaque sur Internet » résume Ivan Kwiatkowski. Le chercheur table sur des recherches approfondies des cybercriminels ou des hackers étatiques afin de tenter de les pénétrer. Avec des conséquences qui pourraient être catastrophiques, évidemment : vols de données d’authentification, subtilisation d’informations sensibles, etc.
Le retour d’un ver destructeur d’ordinateurs ?
Ivan Kwiatkowski le reconnaît : cette prédiction-là est plus spéculative, et on espère franchement qu’elle ne se produira pas. Mais à en croire les statistiques, les chercheurs du GReAT estiment en effet que l’année prochaine pourrait signer le retour « des vulnérabilités les plus dangereuses au monde, celles qui permettent d’accéder à un ordinateur à distance sans condition préalable, et qui en plus ont la particularité de pouvoir être automatisées. »
On a connu un tel scénario à plusieurs reprises, mais le plus récent remonte à mai 2017. A l’époque, des pirates avaient lâché sur Internet un ransomware auto-répliquant baptisé WannaCry et semé la panique un peu partout dans le monde. Des centaines de milliers d’ordinateurs avaient rendu l’âme en quelques heures. Des hôpitaux, des entreprises – comme Renault, en France – avaient été gravement touchés. Basé sur des outils volés à la NSA, ce puissant malware était non seulement capable de chiffrer le contenu d’un disque, mais aussi de se répliquer ensuite sur d’autres machines.
Une catastrophe que la guerre en Ukraine pourrait favoriser, dans un scénario proche de celui qu’avaient suivi les Shadow Brokers, ces mystérieux pirates qui avaient à l’époque fait « fuiter » de puissants outils de piratage américains. « Les tensions politiques accrues augmentent les risques d’un événement de guerre informationnelle. Des attaquants étatiques peuvent pirater les outils de l’autre camp, puis les divulguer sur Internet pour lui causer du tort, permettre aux défenseurs de les détecter, et accuser enfin leur adversaire d’avoir manipulé ces vulnérabilités de manière irresponsable » explique Ivan Kwiatkowski.
Des fuites de données organisées par des États
C’est une technique désormais largement répandue chez les cybercriminels spécialistes du ransomware : chiffrer les données, puis les publier si la victime ne paie pas la rançon. Kaspersky estime que les pirates étatiques pourraient bien s’inspirer de cette méthode du « hack-and-leak » non pas pour faire pression sur une victime, mais pour de la déstabilisation politique. « Dans le contexte de la guerre en Ukraine, il est extrêmement probable que des opérations de piratage aient lieu non pas à des fins d’espionnage, mais plutôt pour disséminer de l’information » indique Ivan Kwiatkowski. Informations qui pourraient, en plus, être légèrement modifiées, faussées, par l’attaquant pour être plus « croustillantes » et faire un maximum de tort aux victimes.
Des malwares cachés, distribués par le réseau
Rappelez-vous, c’était il y a huit ans : Edward Snowden révélait l’étendue des capacités d’espionnage de la NSA et ses nombreux outils de surveillance globale. Parmi ceux-ci, Quantum décrivait une technologie digne d’un roman d’Orwell, capable, en toute discrétion, de déposer des malwares sur des millions de machines. Tout cela en profitant de serveurs placés stratégiquement, parfois directement chez les opérateurs, distribuant des pages Web vérolées à des victimes surfant sur un site légitime. « Ça, c’est ce qu’ils étaient capables de faire à l’époque, il y a dix ans, et on pense que ça fait assez longtemps pour que tous les attaquants sophistiqués aient pu reproduire la même chose » détaille le chercheur de Kaspersky. Il précise que son entreprise à déjà, en 2022, repéré WinDealer, un virus de ce type (dite man-on-the-side dans le jargon) en provenance d’un groupe de pirates basé en Chine.
Cette technique est inquiétante, car très difficile à repérer et à contrecarrer : « Je pense vraiment que nous allons trouver davantage de malwares non plus distribués de manière classique (phishing, pièces jointes vérolées, etc.) mais comme cela, sans aucune interaction de l’utilisateur. C’est l’un des vecteurs les plus puissants que l’on peut imaginer ».
Les drones, meilleurs amis des pirates
Faut-il aussi s’inquiéter des drones, de moins en moins chers et de plus en plus performants en matière d’autonomie et de capacité d’emport ? Ivan Kwiatkowski le pense : « Il est facile d’équiper ces drones de points d’accès Wi-Fi malveillants, de les équiper de clés USB pour les lâcher dans des enceintes sécurisées, de les faire survoler une zone avec un petit IMSI catcher ». Discrets, difficiles à intercepter, ils pourraient facilement aider les pirates à pénétrer des systèmes informatiques en s’approchant au plus près de leur cible.